Securitatea in retele de calculatoare 
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Implementarea securitatii intr-o retea de calculatoare cuprinde trei 
aspecte importante: confidentialitatea, integritatea §i 

disponibilitatea. 

Confidentialitatea reprezinta calitatea unei retele de a asigura 
accesul la informatie doar persoanelor autorizate. 

Integritatea garanteaza faptul ca informatia nu a fost modificata de 
persoane neautorizate. 

Disponibilitatea poate fi defmita ca timpul in care reteaua de 
calculatoare §i resursele din cadrul ei sunt operationale. 


Pentru fiecare din aceste aspecte ale securitatii retelelor de 
calculatoare exista atacuri, astfel incat securizarea unei retele de 
calculatoare trebuie sa implementeze fiecare din aceste aspecte. 

Probleme: 

. identificarea, autorizarea §i monitorizarea activitatii 
utilizatorilor 

. securizarea perimetrului retelei 
. asigurarea confidentialitatii §i integritatii datelor 
. monitorizarea retelei 
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. managements echipamentelor §i infrastructurii de securitate. 

- solutii: firewall-uri, VPN-uri, sisteme de detectie a 
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intruziunilor, etc. 

- definirea unei politici de securitate 
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- O politica de securitate este "o definire formala a regulilor 
dupa care persoanele care au acces la bunurile tehnologice §i 
informatice ale organizatiei trebuie sa le respecte". 

o o politica de securitate specified ce, cine §i in ce 
conditii se pot accesa anumite resurse ale organizatiei 
o politica de securitate trebuie implementata pentru a ne 
asigura ca este respectata. 


Tipuri de atacuri §i vulnerabilitati 


Exista doua cauze majore ce pot constitui amenintari pentru o retea 
de calculatoare, chiar dupa ce a fost implementata o politica de 
securitate corecta: 

1. vulnerabilitati (probleme cauzate de tehnologie) §i 

2. configurare necorespunzatoare. 


Vulnerabilitatile sunt probleme ale sistemelor de operare, 
protocoalelor TCP/IP, dispozitivelor de retea prin care un atacator 
poate accesa reteaua fara a respecta politica de securitate 
implementata. 

Chiar daca vulnerabilitatile sunt problemele cele mai grave §i mai 
greu de controlat, trebuie insa notat ca cele mai multe probleme 
apar datorita configurarii incorecte sau definirii unei politici de 
securitate necorespunzatoare. 
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Atacurile asupra unei retele de calculatoare pot fi clasificate in : 

1. atacuri interne sail externe §i 

2. atacuri structurate sail nestructurate. 

Atacurile externe sunt efectuate din afara organizatiei (din 
punctul de vedere al retelei). Atacurile interne sunt efectuate din 
reteaua organizatiei. 

Atacurile nestructurate sunt atacurile care sunt initiate de 
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indivizi neexperimentati ce utilizeaza exploit-uri disponibile pe 
Internet. Exploit-urile sunt programe ce exploateaza 
vulnerabilitatile pentru a ocoli politica de securitate 
implementata intr-o retea. 

Atacurile structurate sunt initiate de indivizi mult mai bine 
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motivati §i cu cuno§tinte tehnice competente. Ace§ti indivizi 
cunosc vulnerabilitati de sistem §i le pot folosi pentru a capata 
acces in retea, pot detecta noi vulnerabilitati de sistem §i pot 
dezvolta cod §i scripturi pentru a le exploata. 


Un atac trece in general prin trei faze: 

1. faza de recunoa§tere, 

2. faza de obtinere a accesului - formata din doua etape: una in 
care atacatorul obtine acces in cadrul retelei pe una din 
masinile din retea prin exploit-uri de la distanta §i faza in 
care, daca este cazul, obtine acces privilegiat pe ma§ina 
respectiva cu ajutorul unor exploit-uri locale. 

3. faza in care sistemele compromise sunt folosite pentru a ataca 
alte retele. (eventual) 
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1. Recunoa§terea 


- define§te procesul prin care un atacator descopera maparea 
sistemelor, a serviciilor §i vulnerabilitatilor in retea. in aceasta faza 
atacatorul strange informatii §i, de cele mai multe ori, aceasta faza 
precede un atac efectiv. 

Intr-o prima faza atacatorul foloscstc utilitare precum nslookup sau whois pentru a 
descoperi spatiul de adrese alocate organizatiei tinta. Apoi face un ping sweep incercand 
sa determine care din adresele de IP sunt alocate §i care din sisteme sunt pornite. Se 
folose§te apoi un port scanner pentru a determina ce servicii sunt active. Acest utilitar 
functioneaza pe principiul ca fiecare serviciu (web, ftp, etc) are alocat un port. Utilitarul 
trimite pachete SYN catre marina atacata pe portul corespunzator serviciului care se 
incearca a fi detectat. Daca masina atacata ruleaza serviciul, sistemul de operare va 
trimite un pachet de tipul SYN, ACK pentru a incepe negocierea unui canal de 
comunicatie. Acest utilitar poate de asemenea sa detecteze §i tipul sistemului de operare, 
cel mai adesea datorita modului in care unele din sistemele de operare genereaza numere 
de secventa pentru pachetele TCP. Dupa determinarea serviciilor §i sistemului de operare, 
atacatorul incearca sa obtina versiunea sistemului de operare §i versiunile serviciilor 
rulate. Acest lucru se poate face prin conectarea cu utilitare de gen telnet pe portul 
serviciului respectiv si examinarea mesajele afi§ate. Pe baza acestor informatii atacatorul 
poate determina ce vulnerability exista §i ce sisteme poate ataca. 

O alta modalitatea de recunoa§tere a resurselor o reprezinta asa numitul proces de packet 
sniffing. El este folosit mai ales in retelele in care mesajele ajung la toata lumea conectata 
la mediu, ca in cazul Ethernet atunci cand se folose§te un hub. Datorita acestui lucru, tot 
traficul dintr-o astfel de retea poate fi analizat. In mod normal, placa de retea nu va prelua 
din mediu decat pachetele destinate statiei respective sau pachetele de broadcast (la nivel 
2). Daca exista privilegii suficiente, se poate configura placa de retea astfel incat sa preia 
toate pachetele ce circula pe mediu, prin setarea acesteia in promiscuous mode. Pachetele 
astfel captate pot fi procesate cu diverse utilitare §i pe baza lor se pot mapa adrese, 
versiuni de sisteme de operare sau servicii. Mai mult, folosind utilitare de packet sniffing 
se pot receptiona chiar §i date importante care ar trebui sa aiba un caracter privat, cum ar 
fi parole, numere de carti de credit, informatii confidentiale, etc. O falsa solutie pentru a 
preveni problemele ce apar atunci cand se folosesc utilitare de packet sniffing este sa se 
foloseasca un switch ca metoda de interconectare in loc de un hub. De§i reduce 
probabilitatea ca un atacator sa poata intercepta pachetele, nu este o metoda sigura. Sunt 
cunoscute metode prin care un switch poate fi pacalit sa trimita pachete si catre alte 
porturi (§i implicit calculatoare), nu doar catre portul destinatie. Aceste metode poarta 
numele de ARP poisoning. 
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Metode eficiente de protectie impotriva unui atac de recunoa§tere 
sunt: 

• folosirea unui firewall, pentm a bloca incercarile de 
recunoa§tere, 

• folosirea doar a unor protocoale sigure care nu trimit datele 
in clar, ci criptate, sau 

• folosirea criptarii pentru protocoalele nesigure prin tunelare. 


2. Obtinerea accesului 

9 

Una dintre cele mai sigure metode de obtinere a accesului 
privilegiat este a sparge parola. Acest lucru presupune ca 
atacatorul are deja acces pe o ma§ina din retea §i dore§te acces 
privilegiat (root, Administrator). De§i un atac "brute force" nu are 
cum sa dea rezultate decat pe sistemele la care parolele sunt 
limitate la 6-7 caractere, exista atacuri care se folosesc de unele 
particularitati ale parolelor. S-a observat ca majoritatea parolelor 
folosite se incadreaza in anumite categorii, pentru a putea fi u§or 
tinute minte. Din aceasta cauza exista utilitare de spart parole 
bazate pe dictionare ( Jack The Ripper). 

Alta metoda de exploit-uri de la distanta este deturnarea unei 
conexiuni TCP (TCP session hijack). Ea consta in asteptarea ca un 
utilizator sa se logheze pe sistem ce dore§te sa fie atacat, §i apoi in 
trimiterea de pachete catre portul pe care ruleaza serviciul, luand 
locul utilizatorului care s-a autentificat. Aceasta metoda se 
folose§te daca se pot prezice numerele de secventa dintr-un pachet 
TCP. O varianta de detumare de conexiuni TCP este man in the 
middle attack, in acest caz, atacatorul trebuie sa aiba acces la o 
marina pe care trece traficul dintre doua entitati A §i B. in acest 
caz, atacatorul intercepteaza cererea de conexiune de la A la B §i 
raspunde lui A, stabilind cu A o conexiune. Apoi stabile§te §i cu B 
o conexiune. Toate datele trimise de A vor fi apoi trimise lui B §i 
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invers. Astfel atacatorul are acces la convorbirea dintre A §i B, 
chiar daca traficul este criptat din punctul de vedere al lui A §i B. 

IP spoofing este o metoda de atac, dar poate fi folosita §i pentru a 
ascunde identitatea atacatorului sau pentru a lansa atacuri. Prin 
acest atac, pachetele TCP/IP sunt manipulate, falsificand adresa 
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sursa. In acest mod atacatorul poate capata acces atribuindu-§i o 
identitate (adresa de IP) care are autorizare sa acceseze resursa 
atacata. Datorita falsificarii adresei sursa a pachetului IP, atacatorul 
nu poate stabili decat o comunicatie unidirectionala (presupunand 
ca nu este prezent in reteaua locala a ma§inii atacate). Acest lucru 
face protocolul TCP nesusceptibil pentru asemenea atacuri. Exista 
insa numeroase servicii UDP care pot fi exploatate cu acest tip de 
atac. 

Virufi pot constitui metode de atac, atunci cand poarta cu ei 
troieni. Troienii sunt programe simple, care deschid u§i de acces pe 
sistemele infectate de virus. 

O metoda diferita fata de cele discutate pana acum o reprezinta 
ingineria sociala. Ea consta in aflarea de informatii esentiale direct 
de la utilizatori. 


6 


3. Denial of Service (DoS) 

faza in care sistemele compromise sunt folosite pentra a ataca alte 
retele 
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Atacurile de tipul denial of service (DoS) opresc sau incetinesc 
foarte mult functionarea unor retele, sisteme sau servicii. Ele sunt 
cauzate de un atacator care dore§te sa impiedice accesul 
utilizatorilor la resursele atacate. Atacatorul nu are nevoie sa fi 
capatat inainte acces pe calculatorul pe care dorestc sa efectueze 
atacul. Exista multe posibilitati prin care un atac DoS se poate 
manifesta. Efectul insa este acela§i: se impiedica accesul 
persoanelor autorizate de a folosi serviciile de pe sistem prin 
utilizarea la maxim a resurselor sistemului de catre atacator. 


• Exemplu de atac DoS local este un program care creeaza 
procese la infinit. Acest lucru va duce in cele din urma la 
incetinirea sistemului, pentru ca existand un numar foarte 
mare de procese create de atacator, probabilitatea ca acestea 
sa se execute va fi foarte mare, iar procesele celorlalti 
utilizatori nu mai apuca sa se execute. 


• Un alt tip de atac DoS local posibil este crearea unui numar 
limitat de procese (pentru ca majoritatea sistemelor de 
operare modeme limiteaza numaral maxim de procese pe 
care un utilizator le poate crea), care aloca zone de memorie 
de dimensiuni mari §i care acceseaza aceste zone aleator. 
Ideea acestui atac este de a forta sistemul de operare sa 
lucreze cu swap-ul, incetinindu-1. 
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• Exista §i atacuri DoS de la distanta - se bazeaza pe 
vulnerabilitati ale SO sau aplicatiilor. Un exemplu este atacul 
cu date out of band , conceput pentru sistemele de operare 
Windows 95 §i NT. Acest atac va determina sistemul de 
operare sa se blocheze sau sa se reseteze. Datele out of band 
sunt date care nu fac parte din fluxul normal de date schimbat 
intre doi socketi. Acest tip de date sunt trimise doar in cazuri 
speciale §i au prioritate fata de datele normale. Un exemplu 
de situatie in care datele out of band sunt folositoare poate fi 
urmatorul: presupunem ca avem o aplicatie client - server ce 
implementeaza un protocol similar cu telnet. Astfel, intre 
client si server se trimit comenzile, respectiv outputul 
acestora. Pentru a suporta dimensiuni variabile ale ecranului 
la client, in momentul in care acesta redimensioneaza 
fereastra se trimite serverului un mesaj out of band in care se 
specified noile dimensiuni ale ecranului. 


• Atacul Ping of Death folose§te pachete IP modificate care 
indica faptul ca pachetul are mai multe date decat are de fapt. 
Acest atac determina blocarea sau resetarea ma§inii pe 
sistemele care nu verified acest lucru. 
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Atacuri DoS distribuite 


Atacurile DoS distribuite sunt astfel concepute incat sa satureze 
largimea de banda pe legatura ce conecteaza reteaua la Internet cu 
pachete de date trimise de atacator, astfel incat pachetele legitime 
nu mai pot fi trimise. Pentru a realiza acest lucru un atacator se 
folose§te, direct sau indirect, de mai multe sisteme . 

• Un exemplu de astfel de atac este Smurf. Acesta incepe prin a trimite 
un numar mare de mesaje ICMP de tip echo-request (sau ping) catre 
adrese de broadcast, sperand ca aceste pachete vor fi trimise unui 
intreg segment de retea. De asemenea aceste pachete sunt falsificate 
pentru a avea ca adresa sursa adresa sistemului tinta. Daca pachetul 
trece de dispozitivul de rutare, el va fi receptionat de catre toate 
statiile de pe un segment de retea. Acestea vor raspunde cu un pachet 
de tip echo-reply catre adresa falsa din pachet. Astfel, statiile vor 
genera trafic catre adresa specificata de atacator. Acest tip de atac 
poate fi u§or contracarat daca pe ruter se dezactiveaza rutarea 
pachetelor de broadcast directionat. 


• Un alt tip de atac distribuit se poate realiza cu pachetul de 
utilitare TFN2K (Tribe Flood Network 2000). Atacul TFN are 
capacitatea de a genera pachete de IP cu adresa sursa 
falsificata. In prealabil insa, sistemele de pe care se face 
atacul trebuie sa fi fost instalate cu aceste utilitare. Acest 
lucru se face in primul pas, cand se ataca statiile (denumite 
drone-uri). Un TFN master poate apoi comanda drone-urile 
cauzand atacuri DoS distribuite. 
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Figura : Exemplu de atac Smurf 


Solutiipentru implementarea securitdtii 

• asigurarea securitatii perimetrului retelei se face cu un 
firewall, dispozitiv special de retea. 

• Monitorizarea retelei se face cu un IDS (Intrusion Detection 
System), alt dispozitiv special de retea. 

• Pastrarea confidentialitatii §i integritatii datelor intr-un mediu 
ostil se face cu tehnologii VPN (Virtual Private Network). 

• Pentru identificarea, autorizarea §i monitorizarea activitatii 
(accounting) utilizatorilor intr-un mod centralizat se folosesc 
protocoale precum RADIUS (Remote Authentication Dial-In 
User Service) sau TACACS (Terminal Access Controller 
Access Control System). 
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1. Firewall-ul 


- firewall-ul este un sistem sau un grup de sisteme care 
implementeaza politica de acces intre doua sau mai multe 
retele. 
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- Firewall-urile pot fi clasificate in patru mari clase: 

1. firewall-uri dedicate , 

2. firewall-uri de rutere , 

3. firewall-uri de server si 

4. firewall-uri personale. 

Firewall-urile dedicate sunt masini ce ruleaza un sistem de operare 
special conceput pentru filtrarea de pachete §i translatarea de 
adrese. 

Firewall-urile de rutere reprezinta de fapt software special care 
ruleaza pe rutere. Ruterul este astfel integrat cu facilitati de 
firewall. 

Firewall-urile de server sunt implementate, in general, ca un 
software aditional peste un sistem de operare de retea (Linux, NT, 
Win2K, Novell, UNIX). Exemple de astfel de pachete software 
sunt: Netfilter , Microsoft ISA Server , Novell Border Manager. Din 
cauza ca ruleaza software peste un sistem de operare de uz general, 
aceste tipuri de firewall-uri nu se descurca la fel de bine in situatii 
de incarcare mare ca un firewall dedicat. 

Firewall-urile personale sunt instalate pe calculatoarele personale. 
Ele sunt concepute pentru a preveni atacuri doar asupra 
calculatorului pe care ruleaza. Este important de retinut ca aceste 
tipuri de firewall-uri nu sunt optimizate pentru retele intregi de 
calculatoare. 
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Principalele mecanisme prin care un firewall asigura protectia 
retelei sunt: filtrarea de pachete §i translatarea de adrese. 


Filtrarea de pachete 

Filtrarea de pachete este procesul prin care firewall-ul lasa sa 
treaca in reteaua locala doar anumite pachete, pe baza unor reguli. 
Filtrarea de pachete este folosita pentra a proteja o retea de atacuri 
din exterior (Internet) §i se realizeaza la nivelurile OSI 3 §i 4. 

Regulile de filtrare sunt formate dintr-o parte care identified 
pachetul §i o parte care specified cum sa se trateze pachetul. 

in partea de identificare se poate specifica adresa sursa, adresa 
destinatie, adresa de retea sursa, adresa de retea destinatie, 
protocolul (TCP, UDP, ICMP), portul sursa sau destinatie (doar 
pentru TCP sau UDP), tipul mesajului (pentru ICMP), interfata de 
intrare sau iepre, adresele de nivel doi, etc. 

Partea de tratare a pachetului specified ce anume trebuie facut cu 
pachetele identificate de regula. Pentru filtrare exista in general 3 
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posibilitati de tratare: acceptare, ignorare sau respingere. In cazul 
acceptarii pachetul este lasat sa treaca. in cazul ignorarii pachetului 
nu este lasat sa treaca §i nu se trimite notificare catre sursa. in 
cazul respingerii pachetul nu este lasat sa treaca, dar se trimite 
notificare catre sursa (un mesaj ICMP al carui tip poate fl, in unele 
implementari, ales de cel care construie§te regula; de cele mai 
multe ori se folose§te un mesaj ICMP de tip port-unreachable ). 
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Translatarea de adrese 


Translatarea de adrese sau NAT este procesul prin care un ruter 
modified adresele sursa (SNAT) sau destinatie (DNAT) din 
anumite pachete care tree prin ruter pe baza unor reguli. 

Putem considera ca translatarea adreselor este o functie definita pe 
o multime de adrese (A) cu rezultate intr-o alta multime de adrese 
(B). Astfel, fiecare pachet cu o adresa sursa sau destinatie (dupa 
cum este specificat in regula) din multimea A va fi inlocuita cu o 
adresa din multimea B. 
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Se spune ca avem o translatare de adresa statica daca multimile A 

y\ 

si B sunt fiecare formate dintr-un singur element. In caz contrar 
avem o translatare de adrese dinamica. 

Avantajul folosirii translatarii de adrese dinamice consta in faptul ca se poate folosi o 
partajare a adreselor rutabile disponibile organizatiei. Astfel, calculatoarelor din reteaua 
locala li se aloca adrese private, iar ruterul va face o translatare de adrese dinamice din 
multimea de adrese private in multimea de adrese publice alocate organizatiei. Se observa 
insa ca aceasta abordare permite ca doar Card(B) calculatoare din reteaua locala sa aiba 
conversatii TCP sau UDP cu Internetul. Alt avantaj al folosirii translatarii de adrese este 
acela ca se ascunde astfel exteriorului maparea reala de adrese. 


Translatarea de adrese statica se folose§te atunci cand in reteaua 
locala avem un server pe care dorim sa il accesam din exterior, in 
acest caz se face o mapare unu la unu intre adresa din interior si 
cea din exterior. 
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O metoda mai avansata de translatare de adrese o reprezinta PAT 
(Port Address Translation), uneori denumita §i NAT overloaded. 
Aceasta metoda permite un numar de aproximativ 64000 de 

conversatii simultane de la orice host intern catre exterior cu o 

? 

singura adresa externa. Implementarea inlocuie§te pachetul din 
reteaua locala cu adresa sursa S, adresa destinatie D, portul sursa P, 
portul destinatie Q, cu altul nou ce va avea adresa sursa M (adresa 
ruterului), adresa destinatie D, portul sursa K. Portul destinatie nu 
se schimba. De asemenea se memoreaza asocierea (S,P) - K. Daca 
un pachet ajunge pe rater din exterior, avand adresa destinatie M, 
adresa sursa Q §i portul destinatie K, atunci acest pachet va fi 
inlocuit cu un altul cu adresa destinatie S, adresa sursa Q, portul 
destinatie P §i va fi trimis in reteaua locala. Portul sursa nu se 
schimba. 

Un caz special al PAT il reprezinta redirectarea. in acest caz se va 
inlocui pachetul primit din reteaua locala avand adresa sursa S, 
adresa destinatie D, portul P cu un altul avand adresa sursa S, 
adresa destinatie M (adresa ruterului), portul R (portul in care se 
face redirectarea, specificat de utilizator). Redirectarea este in 
general folosita pentra a implementa un proxy transparent, caz in 
care pe ruteral M portul R asculta un proxy configurat pentra 
proxy transparent. 
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Filtrare de pachete si translatare de adrese avansatd 

Anumite protocoale, datorita felului in care sunt concepute, pot sa 
nu functioneze corect atunci cand clientul si serverul sunt separate 
de un firewall care filtreaza pachete sau implementeaza PAT. In 
general, pentru astfel de protocoale clientul §i serverul negociaza 
un port pentru client §i apoi serverul initiaza o conexiune catre 
client pe portul negociat. Din aceasta cauza, implementarea unui 
mecanism de filtrare care sa permita functionarea acestui protocol, 
dar sa protejeze statia de atacuri din exterior, se complied extrem 
de mult. La fel stau lucrurile §i pentru PAT. 

Exemplu de astfel de protocoale : FTP. 

Protocolul FTP folose§te doua porturi: 

- portul de date (ftp-date) §i 

- portul de comenzi (ftp-comenzi ). 

La conectarea la server, clientul initiaza o conexiune catre portul 
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ftp-comenzi. In momentul in care clientul dorestc transferul unui 
fi§ier el va pregati un port pe care va asculta cereri de conexiuni de 
la server, dupa care va trimite pe canalul de comenzi un mesaj in 
care i se cere serverului fi§ierul de transferat si in care ii trimite 
serverului portul pe care clientul asculta. Serverul va initia apoi o 
conexiune de pe portul ftp-date catre portul specificat de client. 
Aceste este modul de functionare normal pentru protocolul FTP. 
Clientul poate fi insa configurat sa ceara de la server un mod de 
lucru pasiv, in care doar clientul initiaza conexiuni. 
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Fie o situatie in care dorim sa utilizam filtrarea de pachete pentru a 
proteja reteua locala de atacuri din exterior. Astfel, pe firewall nu 
vom permite ca statiile din exterior sa initieze conexiuni catre 
statiile din interior. Din acest motiv, in momentul in care o statie 
locala va incerca sa transfere un fi§ier in mod normal de pe un 
server de FTP, firewall-ul va bloca incercarea de deschidere a unei 
conexiuni a serverului catre client. Cum portul este negociat de 
client, problema aparuta nu se poate rezolva foarte simplu. 

Singura solutie posibila este ca firewall-ul sa analizeze toate 
pachetele schimbate de client §i server §i sa identifice portul 
negociat. Cu aceasta informatie va putea apoi permite stabilirea 
conexiunii initiate de server cu clientul. Folosirea unei astfel de 
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abordari este denumita stateful inspection sau connection tracking. 


2 Sisteme de detectie a intruziunilor 

9 

Sistemele de detectie a intruziunilor - Intrusion Detection Systems 
(IDS) au abilitatea de a detecta atacurile impotriva unei retele. 
Aceste sisteme identified, opresc §i semnaleaza atacurile asupra 
resurselor retelei. 
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Exista doua tipuri de sisteme de detectie a intruziunilor: 

- pentru statii §i 

- pentru retele. 

Un HIDS (Host based IDS) sau un sistem de detectie a 
intruziunilor pentru statii inregistreaza atat operatiile efectuate, cat 
§i utilizarea resurselor sistemului. Un avantaj al HIDS este faptul 
ca el poate preveni atacuri necunoscute. De exemplu un HIDS 
poate monitoriza accesul la fi§iere §i reactiona cand un atacator 
incearca sa §tearga fi§iere critice. Chiar daca tipul atacului este nou 
si nu poate fi recunoscut de un NIDS (Network based IDS) un 
HIDS poate sesiza atacul. 
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Cea mai simpla forma de HIDS este pomirea proceselor de logare 
pe sistem. O astfel de metoda se spune ca este pasiva. Dezavantajul 
acestei metode este faptul ca necesita multe ore de munca din 
partea administratoralui pentru a analiza logurile. Sistemele HIDS 
curente folosesc agenti software care sunt instalati pe fiecare 
ma§ina §i care monitorizeaza activ sistemul (pot reactiona daca 
detecteaza atacuri). Atunci cand HIDS-ul este configurat sa 
raspunda activ, el va opri serviciile de retea pentru a preveni 
eventuale pagube §i a putea analiza exact atacul. Un exemplu de 
sistem de detectie a intruziunilor este Linux Intrusion Detection 
System (LIDS). 

NIDS-urile sunt dispozitive de inspectare a traficului §i actioneaza 
prin colectarea de date de la senzori amplasati in retea. NIDS-urile 
capteaza si analizeaza traficul ce traverseaza reteaua. Avantajul 
folosirii unui NIDS este faptul ca nu trebuie aduse modificari pe 
statii. In schimb, datorita faptului ca la baza NIDS-urilor sta 
detectia bazata pe semnaturi ale atacurilor, el nu poate opri sau 
detecta atacuri noi. 
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